مشروع تداول الهامش إثيريوم يتعرض لهجوم هاكر بقيمة 300000 دولار
في 30 مارس 2025، أصبح مشروع تداول الهامش الذي يعمل على إثيريوم هدفًا لهجوم هاكر، مما أدى إلى خسارة أصول تتجاوز 300,000 دولار. قامت فرق الأمان بتحليل عميق لهذا الحدث، كاشفة عن تفاصيل الهجوم وأسبابه.
خلفية الحدث
استغل المهاجمون ثغرة في ميزة التخزين المؤقت التي تم تقديمها في إصدار Solidity 0.8.24. التخزين المؤقت هو موقع جديد لتخزين البيانات يهدف إلى توفير وسيلة تخزين مؤقتة فعالة من حيث التكلفة وفعالة خلال المعاملات. ومع ذلك، كانت هناك عيوب في تنفيذ هذه الميزة في المشروع، مما جعلها نقطة اختراق للهاكر.
مبدأ الهجوم
تتمثل جوهر الهجوم في أن البيانات في التخزين المؤقت تبقى فعالة طوال فترة المعاملة، بدلاً من أن يتم مسحها بعد انتهاء كل استدعاء دالة. استغل المهاجم هذه الخاصية بمهارة، من خلال تسلسل معاملات مصمم بعناية، متجاوزًا آلية فحص الأذونات في العقد.
خطوات الهجوم
يقوم المهاجم بإنشاء رمزين مخصصين، وإنشاء بركة سيولة لهذين الرمزين على بعض DEX.
استخدام هذين الرمزين لإنشاء سوق تداول هامش جديد في المشروع المستهدف.
من خلال إيداع رموز الدين، يتم سك رموز الرفع، مع ترك قيمة محددة في التخزين المؤقت.
إنشاء عقد خبيث يتطابق مع القيمة في التخزين المؤقت.
استخدام هذا العقد الخبيث لاستدعاء دالة رد النداء للعقد المستهدف، لتجاوز فحص الأذونات.
أخيراً، قم بسحب رموز أخرى ذات قيمة مباشرة من العقد المستهدف.
حالة الخسارة
وفقًا للتحليل على السلسلة، تمكن المهاجم من سرقة حوالي 300000 دولار من الأصول، بما في ذلك:
17,814.8626 دولار أمريكي
1.4085 WBTC
119.871 ايثر
المهاجمون بعد ذلك قاموا بتحويل جميع الأصول المسروقة إلى WETH ونقلوها إلى أداة مجهولة.
نصائح أمان
لمنع هجمات مماثلة، يجب على المشروع:
بعد انتهاء استدعاء الدالة التي تستخدم التخزين المؤقت، قم بمسح القيم المخزنة على الفور.
تعزيز عملية تدقيق أمان كود العقد واختبار الأمان.
استخدم ميزات اللغة الجديدة بحذر، وكن على دراية بالمخاطر المحتملة.
تذكرنا هذه الحادثة مرة أخرى أنه مع التطور السريع لتكنولوجيا البلوك تشين، لا تزال مسائل الأمان تمثل تحديًا مستمرًا. يحتاج مطورو المشاريع إلى البقاء يقظين طوال الوقت، وتحديث ممارسات الأمان باستمرار، لحماية أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
4
مشاركة
تعليق
0/400
screenshot_gains
· منذ 13 س
كسب المال بصمت، واستغلال الثغرات لأخذ المال
شاهد النسخة الأصليةرد0
CodeAuditQueen
· منذ 13 س
هل أنت متخلف؟ من لا يزال يستخدم 0.8.24
شاهد النسخة الأصليةرد0
MissedAirdropAgain
· منذ 13 س
آه، انتظرت حتى انتهت ثغرات داخل السلسلة ثم انتظرت إعادة بناء المشروع، لا تخشى أن تخسر، فأنت تعرف ما في قلبك.
إثيريوم تداول الهامش مشروع تعرض لهجوم هاكر بقيمة 300,000 دولار ثغرة التخزين اللحظي كانت هي المفتاح
مشروع تداول الهامش إثيريوم يتعرض لهجوم هاكر بقيمة 300000 دولار
في 30 مارس 2025، أصبح مشروع تداول الهامش الذي يعمل على إثيريوم هدفًا لهجوم هاكر، مما أدى إلى خسارة أصول تتجاوز 300,000 دولار. قامت فرق الأمان بتحليل عميق لهذا الحدث، كاشفة عن تفاصيل الهجوم وأسبابه.
خلفية الحدث
استغل المهاجمون ثغرة في ميزة التخزين المؤقت التي تم تقديمها في إصدار Solidity 0.8.24. التخزين المؤقت هو موقع جديد لتخزين البيانات يهدف إلى توفير وسيلة تخزين مؤقتة فعالة من حيث التكلفة وفعالة خلال المعاملات. ومع ذلك، كانت هناك عيوب في تنفيذ هذه الميزة في المشروع، مما جعلها نقطة اختراق للهاكر.
مبدأ الهجوم
تتمثل جوهر الهجوم في أن البيانات في التخزين المؤقت تبقى فعالة طوال فترة المعاملة، بدلاً من أن يتم مسحها بعد انتهاء كل استدعاء دالة. استغل المهاجم هذه الخاصية بمهارة، من خلال تسلسل معاملات مصمم بعناية، متجاوزًا آلية فحص الأذونات في العقد.
خطوات الهجوم
حالة الخسارة
وفقًا للتحليل على السلسلة، تمكن المهاجم من سرقة حوالي 300000 دولار من الأصول، بما في ذلك:
المهاجمون بعد ذلك قاموا بتحويل جميع الأصول المسروقة إلى WETH ونقلوها إلى أداة مجهولة.
نصائح أمان
لمنع هجمات مماثلة، يجب على المشروع:
تذكرنا هذه الحادثة مرة أخرى أنه مع التطور السريع لتكنولوجيا البلوك تشين، لا تزال مسائل الأمان تمثل تحديًا مستمرًا. يحتاج مطورو المشاريع إلى البقاء يقظين طوال الوقت، وتحديث ممارسات الأمان باستمرار، لحماية أصول المستخدمين.